Construye una política

Análisis Normativo
de prevención GDPR y CCPA. Modelos de Gestión de Riesgos de
de… 12/25
Seguridad
Identificación de
13
información sensible…
Curso de DLP: Prevención de Pérdida de Datos IDENTIFICACIÓN …
Realiza una evaluación
14
de impacto de…
Actualmente en el panorama internacional tenemos dos referentes normativos que
Identificación y
15
debemos considerar
valoración de los…para cualquier despliegue o modelo de negocios que queramos
desarrollar en un entorno digital. Estos son GDPR y CCPA, en esta clase estaremos
Técnicas de tratamiento
revisando
16 las características mas relevantes de estos dos modelos.
de datos, minimizació…

Evaluación y
GDPR
17
retroalimentación de l…

Política de prevención
18
de pérdida de datos

Qué hacer en caso de

materialización del…

¿Qué hacer en caso de

19
materialización de un…

Cadena de custodia de
20
evidencias digitales y…

Lecciones aprendidas
21
de la gestión de…

Métodos para la
22
recuperación de datos

Creación y restauración
23
de copias de seguridad

Tipos de soluciones
24
que se pueden…

Conclusiones finales y
25
cierre
 1. Protege los datos personales de los Residentes en la Unión Europea
2. Aplica a todas las personas y empresas que traten datos residentes en la UE.
3. Art. 15. Acceso (30 días)
4. Art. 16. Rectificación
5. Art. 17. Eliminación (olvido)
6. Art. 18. Restricción de Procesamiento
7. Art. 19. Portabilidad
8. Art. 21. Objeción
9. Art. 22. No ser objeto de decisiones automatizadas

10 Para el tratamiento de datos las empresas deben demostrar que cuentan con el
consentimiento inequívoco de los titulares de los datos
11. Obliga a realizar Evaluaciones de Impacto de Privacidad

12. Quienes traten datos deben tener la capacidad de garantizar:

Confidencialidad, integridad, disponibilidad y resiliencia permanentes de los

sistemas y servicios de tratamiento;
La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida en caso de incidente físico o técnico.

13. Las Autoridades de Protección de Datos de los Países de la Unión Europea pueden
imponer multas según el tipo de infracción:

Las menos graves se sancionarán con hasta 10 millones de euros o el 2% del

volumen de facturación anual de la empresa (la más alta de las dos).
Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones
de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las
dos)

CCPA
1. Protege la Privacidad de los Consumidores en el Estado de California
2. Aplica a grandes empresas que recopilen y/o controlen información personas
residentes de California y además deben cumplir alguna de estas tres condiciones:

Ingresos brutos anuales mayores de $25.000.000

Tratar anualmente información personal de 50.000 o más residentes, hogares o
dispositivos en California (visitas web).
Obtener el 50% o más de sus ingresos anuales por la venta de información personal.

3. Acceso - (45 días)

4. Derecho a saber (se deben informar las categorías de información personal que han
vendido o revelado en los últimos 12 meses)

5. Eliminación *

6. A oponerse a la venta - Son los consumidores los que deben hacer una exclusión
voluntaria (Hacer Click en la opción * No vender)
A no ser discriminado

7. Las empresas deben informar las finalidades para las cuales recolectan datos, si los
usan para categorizar o, sí ese uso implica fines comerciales y/o si se está
compartiendo data con terceros
 8. Permite a los negocios ofrecer incentivos financieros a los consumidores por el uso
y recopilación de su información personal, pero los obliga a identificar plenamente
los activos y los flujos de información que posee.

9. Obliga a informar antes de que la información sea recolectada

10. Se debe implementar controles razonables de seguridad.

11. Le otorga la competencia al Procurador General del Estado para investigar y

sancionar hasta con $ 7.500 cuando se den accesos no autorizados, o filtración de
datos, robo o divulgación de información personal no encriptada o no autorizada por
el consumidor.

Estas dos Normas, que si bien no tienen aplicación directa en Latinoamérica, ya que la
mayoría de nuestros países cuentan con su propia regulación de seguridad y protección
de datos personales, se están convirtiendo en estándares internacionales a tener en
cuenta para el uso y aprovechamiento de información personal en los Negocios Digitales,
toda vez que definen una serie de derechos, prácticas, exigencias, buenas prácticas y
controles que cualquier negocio digital con vocación de internacionalización debe
incorporar.

Conforme a todo lo anterior, para dar cumplimiento al Reglamento Europeo de Protección

de datos y a la Ley de Privacidad del Consumidor de California, los emprendimientos
digitales deben identificar sus activos de información, analizar cómo los están
gestionando e incorporar las medidas técnicas de prevención de pérdida de datos, que
sean necesarias acorde con la información que se maneje.

Para ello es importante implementar dentro de la organización un modelo de Gestión de

Riesgos de seguridad, como el que estamos estudiando en este curso.

Para mayor información ver:

ISO 31000
MAGERIT
Introducing OCTAVE Allegro: Improving the Information Security Risk Assessment Process

Y si deseas profundizar más sobre el GDPR y la CCPA en estos enlaces encuentras mucha
información muy valiosa. Si tienes dudas dejame un comentario en esta clase.